Jump to content

Recommended Posts

dobriloff

Здравейте,

Случайно забелязах нещо доста обеспокоително за мен, за част от мрежата на A1 ssl сертификата на viber.com e издаден от LetEncypt, което на мен ми прилича на man-in-the-middle, тъй като извън мрежата на A1 SSL сертификата на viber.com се вижда ,че е издаден от GeoTrust.

По странното е как са успели да го генерират при това wildcard.

Редактирано от dobriloff

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Viber по цял свят се хоства при мобилните оператори-послушващите служби.

Затова нямат съпорт сайт няма лист с промените и реклами не им трябват ;)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
dobriloff

Това обяснява как A1 са генерирали сертификата.. те просто имат работни отношение с Viber..

Все пак според мен е леко криво за потребителите толкова явно да бъдат подслушвани от оператора си :)

Мерси за пояснението ,чесно казано не би ми дошло на идея ,че Viber биха си съдействали с операторите , тъй като налу уж това е застъпване на пазар..

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
slevin
преди 36 минути, dobriloff написа:

Това обяснява как A1 са генерирали сертификата.. те просто имат работни отношение с Viber..

Все пак според мен е леко криво за потребителите толкова явно да бъдат подслушвани от оператора си :)

Мерси за пояснението ,чесно казано не би ми дошло на идея ,че Viber биха си съдействали с операторите , тъй като налу уж това е застъпване на пазар..

Не е необходимо да имат някакви отношения с viber.com. Сам си писал в началото за mitm.

Възможно е  mitm да не се извършва точно от оператора.

Не е проблем, ако някой по пътя  разполага с веригата на доверие(примерно на медиатор или да бъде такъв) за letsencrypt, то да  генерира и подмени публичния ключ (с преизчислен fingerprint), който сървъра подава към клиента за проверка.
Все пак може да провериш дали IP адреса на хоста е един и същ както при Geotrust така и при  letsencrypt.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
dobriloff

viber си държат DNS в Akamai та няма как го сравним това. Поскоро A1 правят SSL inspection и там подменят сертификата, но все пак остава въпроса как са го генерирали , и другото което е сертификата вчера се прегенерира с нова дата.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Само се сетете преди време как се рекламираха от Вайбър.

10 Гиги от оператора трафик към Вайбър 😉

за нормални 10 гиги режат глава ама за вайбър бонус.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гост
Отговорете в темата...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.